Цитаты о новых пришельцах :

28 января. /СИЭТЛ/. ... награду в сумме 250 тыс. за информацию, которая позволит
арестовать автора червя Mydoom (или Novarg), который поразил миллионы
компьютеров во всем мире, - сообщает Reuters.Вирус ... // УФС
Если пользователь запустил зараженный файл, вирус начинает процедуру внедрения в
компьютер и дальнейшего распространения, используя для этого адресную базу
зараженного компьютера. Червь устанавливает на зараженный компьютер модуль,
который может использоваться злоумышленниками для рассылки спама и
несанкционированного удаленного управления инфицированного ... // Urfo.Org

Служба круглосуточного мониторинга "Лаборатории Касперского" сообщает о
зафиксированом ночью 27 января 2004 года начале крупномасштабной эпидемии
почтового червя Mydoom, также известного как Novarg. В настоящий момент всеми
антивирусными компаниями данному червю присвоен максимальный уровень опасности.
Количество зараженных писем в интернете исчисляется несколькими миллионами
экземпляров. I-Worm.Mydoom, вирус-червь. Также известен как Novarg.
Распространяется через интернет в виде файлов, прикрепленных к зараженным
письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows
(PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного
файла около 40KB. Червь активизируется, только если пользователь сам откроет
архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь
инсталлирует себя в систему и запускает процедуры своего распространения. Червь
содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение
DoS-атаки на сайт www.sco.com 1 февраля 2004 года. Часть тела вируса
зашифрована. Инсталляция. После запуска червь запускает Windows Notepad в
котором демонстрирует произвольный набор символов. При инсталляции червь
копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует
этот файл в ключе автозапуска системного реестра.
Рассылка писем. При рассылке зараженных писем червь использует
собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к
почтовому серверу получателя. Для обнаружения адресов электронной почты, по
которым будет вестись рассылка зараженных писем, червь ищет на диске файлы,
имеющие расширения: asp dbx tbb htm sht php adb pl wab txt и собирает найденные
в них адреса электронной почты. При этом червем игнорируются адреса,
оканчивающиеся на ".edu". Содержание зараженных писем. Адрес отправителя:
[произвольный] Тема письма выбирается произвольно из списка: test hi hello Mail
Delivery System Mail Transaction Failed Server Report Status Error Тело письма
выбирается произвольно из списка: test The message cannot be represented in
7-bit ASCII encoding and has been sent as a binary attachment. The message
contains Unicode characters and has been sent as a binary attachment. Mail
transaction failed. Partial message is available. Имя вложения может иметь либо
одно слово, либо быть составленным из двух отдельных, соединенных символом "_":
document readme doc text file data test message body Вложения могут иметь одно
из расширений: pif scr exe cmd bat Также червь может посылать письма с
бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Размножение через P2P. Червь проверяет наличие установленного на машине клиента
Kazaa и копирует себя в каталог файлообмена под следующими именами: winamp5
icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP
office_crack nuke2004 с расширением из списка: bat exe scr pif Прочее.
"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной
машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал
"бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме
этого, "бэкдор" может загружать из интернета и запускать на исполнение
произвольные файлы. В черве заложена функция организации DoS-атаки на сайт
www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет
работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на
80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может
привести к полному отключению данного сайта.

Компьютерные сети продолжают переживать атаку нового вируса I-Worm.Novarg. Несмотря на то,
что компании, занимающиеся защитой сетей, проанализировали этого «червя» и
приготовили средства защиты и лечения, эпидемия продолжается. Эксперты уже
говорят, что экономический ущерб, причиненный новым вирусом, может по своим
размерам превзойти последствия всех предыдущих вирусных атак. Исключением не
станет даже печально известный вирус Nimda, вторгнувшийся в сети в
августе-сентябре 2001 года. Главная особенность I-Worm.Novarg – заражая
компьютер, он без ведома пользователя начинает рассылать инфицированные письма,
используя адреса из адресной книги или список сайтов, сохраненных в папке
«Избранное». При этом вирус старательно маскируется, подписываясь другими
доменами (именами сайтов) и другими электронными адресами. «Вычислить» реальный
адрес зараженного компьютера может только специалист. Начиная со вторника,
вирусной атаке подвергаются компании, широко использующие Интернет в своем
бизнесе и ведущие активную электронную переписку. Три вируса - почтовые черви I-Worm.Dumaru.j, I-Worm.Mimail.q и
I-Worm.Novarg - позволяют злоумышленникам загружать и выполнять на
инфицированных компьютерах вредоносные файлы, уничтожать или похищать
информацию, а также полностью перехватывать управление над компьютером. Кроме
того, вирусы имеют механизмы самораспространения по электронным адресам, которые
были найдены на инфицированных компьютерах, сообщает УАЦ.